WinDbg-UI blockiert beim Kopieren: Ursachenforschung führt zu Zwischenablage-Deadlock in virtuellen Umgebungen
Ein seit Jahren bestehendes Phänomen beim Windows-Debugger WinDbg konnte nun aufgeklärt werden:
#WinDBG
Hunting CVE-2025-59287 in Memory Dumps: https://medium.com/@Debugger/hunting-cve-2025-59287-in-memory-dumps-b70afd7d2dcf
Анализ дампа: с чего начать
Всем привет! Меня зовут Виктор, и я программист. Восемь лет работаю в команде Т-Банка и все это время вместе с коллегами занимаюсь проектом «Т-Телефония». Моя команда разрабатывает сервисы, которые обеспечивают голосовую коммуникацию внутри и вне банка. Звонки — один из основных способов связи с нами, поэтому система критична для бизнеса с высоким требованием к доступности. Она обрабатывает более 2 млн звонков в день. Если происходит сбой в любой пользовательской системе и нашим клиентам плохо, количество звонков сразу увеличивается, а нагрузка на систему повышается в два-три раза. Когда мне прилетела первая задача с дампом, единственным инструментом, который я знал, был WinDbg. Я потратил несколько дней, чтобы хоть немного разобраться в нем. С развитием проекта приходилось все чаще снимать дампы, и теперь я знаю о них намного больше. В статье покажу, что такое дампы, какие есть инструменты для работы с ними и какие у них особенности, покажу наши примеры проблем, расскажу, как мы их решали.
New post: Advantech printer driver heap bug, likely LPE. Details + repro: https://neurowinter.com/security/2025/10/09/Multiple-Expliots-in-Advantech-Printer-Driver/ #infosec #Windows #LPE #PrinterDriver #Advantech #ReverseEngineering #WinDbg #Ghidra #CWE190 #VulnerabilityResearch #Security
Загадка внезапно умирающего процесса Oracle: как мини-дамп помог найти причину
Привет, Хабр! Меня зовут Павел, я ведущий архитектор в «Инфосистемы Джет», и это мой дебют на этой площадке.
https://habr.com/ru/companies/jetinfosystems/articles/936732/
🌘 剖析 AFD.sys:探究未文件化的介面 (第一部分)
➤ 繞開 Winsock,直接與 Windows 核心網路驅動程式互動
✤ https://leftarcode.com/posts/afd-reverse-engineering-part1/
本文是關於深入研究 Windows 11 中 Ancillary Function Driver (AFD.sys) 的系列文章的第一篇。作者 Mateusz Lewczak 分享了他如何繞過 Winsock,直接透過 AFD.sys 建立原始 TCP Socket 的技術細節。透過使用 WinDbg 進行核心偵錯,作者從實際的網路請求中逆向工程出 AFD.sys 所需的結構定義和旗標,以成功地建立並綁定 TCP Socket,為後續文章中實現完整的 TCP 三向交握奠定基礎。
+ 這篇文章太有用了!直接操作 AFD.sys 真是個大膽又聰明的想法,對於想深入瞭解 Windows 網路堆疊的開發者來說是無價之寶。
+ 作者的逆向工程方法很紮實,從
#Windows 驅動程式 #網路安全 #逆向工程 #WinDbg #AFD.sys
Why does [ #WinDbg ] show me the wrong function?
https://devblogs.microsoft.com/oldnewthing/20050322-00/?p=36113
TIL about COMDAT folding #compiler optimization!
https://devblogs.microsoft.com/oldnewthing/20050322-00/?p=36113
TIL about COMDAT folding #compiler optimization!
A guide to get you started with #Windows #Kernel #Debugging walking you through the complete setup and usage of #WinDbg to trace Windows process creation at the kernel level, from boot to PspCreateProcess, using VMware Workstation. #ReverseEngineering https://github.com/mytechnotalent/windows-kernel-debugging
@beardymcnerd we can throw away our #windbg cheat sheet 🤓
🌗 崩潰分析的未來:AI 與 WinDBG 的結合
➤ AI 驅動的除錯革命
✤ https://svnscha.de/posts/ai-meets-windbg/
這篇文章介紹瞭如何利用人工智慧 (AI) 輔助崩潰分析,將原本繁瑣、耗時的 WinDBG 除錯流程轉變為更直觀、自然的對話式互動。作者開發了一個基於 Model Context Protocol (MCP) 的伺服器,將 WinDBG 與 GitHub Copilot 連接,讓使用者可以用自然語言提問,AI就能分析崩潰轉儲、找出問題根源,甚至自動修復錯誤,大幅提升開發效率。此專案已開源,名為 mcp-windbg。
+ 哇,用 AI 幫我除錯,聽起來太酷了!我再也不用花半天時間看一堆十六進位碼了。
+ 這的確是軟體開發的重大進步,我迫不及待想試試看這個 mcp-windbg 專案。
#人工智慧 #除錯 #軟體開發 #WinDBG #AI輔助
🚀 "AI Meets WinDBG" boldly drags crash analysis kicking and screaming into 2025—by making you type commands like it's 1995. 🤖✨ Because who doesn't want a future where #AI does everything... except rescue you from your own nostalgia-fueled #debugging obsession? 🕰️💻
https://svnscha.de/posts/ai-meets-windbg/ #WinDBG #CrashAnalysis #Nostalgia #TechTrends #HackerNews #ngated
Look at this gem I just found:
Using WinDbg Over KDNet on QEMU-KVM
https://www.osr.com/blog/2021/10/05/using-windbg-over-kdnet-on-qemu-kvm/
"The enlightenments that are enabled by default include setting the hypervisor ID to the same ID that’s reported by Microsoft Hyper-V (which is “Microsoft Hv”). [...] when the KDNet transport initializes, it checks the hypervisor ID, and if it discovers it is running under Microsoft Hyper-V [...] it attempts to open a debugger connection using an undocumented protocol over a synthetic hypervisor-owned debug device that Hyper-V provides."
I'll give this a shot tomorrow on Proxmox and I'll drink something strong if modifying the hypervisor ID actually solves my issues! :D
#windbg #reverseengineering #proxmox #kvm
Using WinDbg Over KDNet on QEMU-KVM
https://www.osr.com/blog/2021/10/05/using-windbg-over-kdnet-on-qemu-kvm/
"The enlightenments that are enabled by default include setting the hypervisor ID to the same ID that’s reported by Microsoft Hyper-V (which is “Microsoft Hv”). [...] when the KDNet transport initializes, it checks the hypervisor ID, and if it discovers it is running under Microsoft Hyper-V [...] it attempts to open a debugger connection using an undocumented protocol over a synthetic hypervisor-owned debug device that Hyper-V provides."
I'll give this a shot tomorrow on Proxmox and I'll drink something strong if modifying the hypervisor ID actually solves my issues! :D
#windbg #reverseengineering #proxmox #kvm
GhidraDbg - A Python script that creates a bridge between #Ghidra and #WinDbg for dynamic driver analysis, allowing real-time synchronization of debugging states.
https://github.com/philsajdak/GhidraDbg
"The built-in Ghidra-WinDbg sync can be challenging to configure and maintain, often requiring specific connection settings and troubleshooting. This script aims to provide a more straightforward, feature-rich alternative."
https://github.com/philsajdak/GhidraDbg
"The built-in Ghidra-WinDbg sync can be challenging to configure and maintain, often requiring specific connection settings and troubleshooting. This script aims to provide a more straightforward, feature-rich alternative."
I just mastered Windows kernel debugging and learned how to dig globally all environment data from EPROCESS globally in the system using WinDbg :-)
It can side-effect free (except slowing down) to intervene process creation of NT kernel. I'll post the script as I test it more.
Victory in debugging after two weeks. Now I have at least proper weapons to nail the build issue in PolkaVM guest programs.
The most important skill to write e.g. Windows drivers for what is worth but also do global system tracing.
I tried all other methods but they all suck in some way.
As much I dislike Windows I have to admit that this brings me weird satisfaction ;-)
https://learn.microsoft.com/en-us/windows-hardware/drivers/debugger/
#windows #nt #windbg
It can side-effect free (except slowing down) to intervene process creation of NT kernel. I'll post the script as I test it more.
Victory in debugging after two weeks. Now I have at least proper weapons to nail the build issue in PolkaVM guest programs.
The most important skill to write e.g. Windows drivers for what is worth but also do global system tracing.
I tried all other methods but they all suck in some way.
As much I dislike Windows I have to admit that this brings me weird satisfaction ;-)
https://learn.microsoft.com/en-us/windows-hardware/drivers/debugger/
#windows #nt #windbg
The second part of my #WinDbg deep-dive into the #Windows #bootloader is up: Get ready for a decades-old registry structure, unique sorting algorithms, and lots of corner cases. The result is a modern Rust replacement for Mark Russinovich's LoadOrder tool: https://colinfinck.de/posts/nt-load-order-part-2/
For those of you who are also deep into Windows #reverseengineering, #bootloaders, and #WinDbg: My first blog post on researching the Windows driver load order and all its quirks is out, beginning with some WinDbg fundamentals: https://colinfinck.de/posts/nt-load-order-part-1/
I hadn't needed to use #Microsoft #WinDbg in many years (🙏), so I was more than a bit shocked to see that they had added a "ribbon" toolbar and "metro-ified" much of the #UX.
There are some nice quality of debugging things they've added though, so it wasn't all just adding bling.
But, the bling does seem like a weird thing to have spent time on from a dev resources perspective, especially given the target audience.
Волк в овечьей шкуре — как атакующие эксплуатируют CVE-2023-38831 в WinRAR
Привет, Хабр! Меня зовут Илья Ефимов, я аналитик-исследователь угроз кибербезопасности в компании R-Vision. Моя статья будет посвящена разбору уязвимости CVE-2023-38831 в архиваторе WinRAR . Эта уязвимость активно используется хакерами в атаках на отечественные компании. В отчете компании BI.ZONE фиксируется информация, что злоумышленники из групп Cobalt Werewolf, Mysterious Werewolf использовали данную уязвимость для доставки вредоносной полезной нагрузки. В этом случае уязвимость эксплуатировала вредоносный архив при доставке фишингового письма. Схожую информацию предоставляют исследователи из Positive Technologies , связав активность группировки ExCobalt с эксплуатацией CVE-2023-38831. Также фиксировались случаи эксплуатации данной уязвимости ВПО Agent Tesla и DarkMe . Стоит отметить, что по данным компании Kaspersky в 2024 году данная уязвимость занимает третье место по частоте эксплуатации атакующими в России и странах СНГ. В своей статье я опишу, в чем заключается суть уязвимости, продемонстрирую её эксплуатацию, а также генерируемые события по активности. Затем я подробно опишу процесс детектирования уязвимости и определю основные артефакты с помощью R-Vision SIEM. Смотреть
https://habr.com/ru/companies/rvision/articles/837632/
#winrar #cve202338831 #уязвимости #siem #correlation_rule #winapi #windbg
Just in case you need to list of the top protected processes on a live Windows system using WinDbg:
Client Info
Server: https://mastodon.social
Version: 2025.07
Repository: https://github.com/cyevgeniy/lmst